Adrenaline: Fonte de informação sobre Tecnologia e Jogos

Artigo afirma que a criptografia do Java compromete segurança no Android

Artigo afirma que a criptografia do Java compromete segurança no Android

15/10/2013 11:31 | | @kerberdiego | Reportar erro





Share on Google+

Um post escrito por George Lukas (não, não é George Lucas) detalhou a criptografia presente nas novas versões do Android e, de acordo com Lukas, ela é "horrivelmente quebrada". O motivo para a falta de segurança seria o uso das cifras SSL RC4 e MD5, ambas consideradas defasadas, nas conexões dos aparelhos com sistema da Google.

Avançando na análise do código do sistema, é possível concluir que nem sempre o Android utilizou cifras de baixa segurança em suas conexões. Segundo o artigo, versões mais antigas como a 2.2.1 vinham com o padrão AES256-SHA1, e a mudança ocorreu na versão 2.3.

O motivo do uso de uma cifra insegura seria o culpado de sempre (quando não é o Flash): o Java. Verificando a documentação de implementação do Java (RI 6), estas cifras são as recomendadas desde 2002 (nos tempos de Sun, ainda). Neste caso, a Google acabou utilizando este padrão para se adequar as sugestões, que em teoria facilitam a compatibilidade entre aparelhos. Além do sistema, o navegador padrão do Android também utiliza esta cifra insegura. Curiosamente, o Chrome "se escapa" da confusão, utilizando AES256-GCM e SHA384.

As cifras, ou cypher, são os algoritmos responsáveis pela criptografia de uma mensagem. Eles são os procedimentos para transformar uma mensagem e codificá-la de uma forma que, se alguém interceptar a comunicação, não possa tirar dados ou interferir. O padrão RC4 já é considerado defasado, sendo presente em protocolos inseguros como o WEP (sim, aquele que você não deve usar em seu roteador), enquanto o MD5 foi "quebrado" em 2009.


Os comentários são de responsabilidade exclusiva de seus autores e não representam a opinião do Adrenaline. Se achar algo que viole nossas condições de uso, denuncie através do link de report de erro do conteúdo.

Comentários que não são pertinentes a discussão, com caráter ofensivo, com xingamentos etc., serão deletados sem aviso prévio e os usuários serão BANIDOS. Não iremos fazer análises de reclamações sobre banimentos, então pedimos a colaboração para evitar inconvenientes.

* Esse é um espaço de troca de conhecimentos e opiniões, use-o para esses propósitos *